Recomendaciones generales ante el conflicto Rusia-Ucrania
Tomando en cuenta el contexto geopolítico que se vive por la guerra entre Rusia y Ucrania, los ataques y amenazas state-sponsored comienzan a proliferar. En este escenario, las organizaciones podrían ser víctimas de ataques de distintos tipos, como los que se han visto a lo largo de esta crisis, los cuales incluyen:
- Denegación distribuida de servicio (DDoS).
- Ataques de destrucción de información (Wiper).
- Otras amenazas avanzadas relacionadas con ciberespionaje.
Entre las características de las amenazas observadas, destaca el uso de técnicas Living Off the Land (LotL), las cuales, abusan de binarios legítimos, algunos de ellos inmersos en el propio sistema operativo, para camuflar su actividad maliciosa sin ser identificados por sistemas de gestión de eventos e información de seguridad (SIEM) o sistemas de detección y respuesta de EndPoint (EDR). Por lo anterior, este artículo tiene como objetivo dar recomendaciones ante ciberamenazas derivadas de esta crisis.
Recomendaciones para la detección
Generales
- Controle y vigile cuidadosamente el tráfico que sale de su red, para esto revise en bitácoras:
- Tráfico de salida de conexiones a direcciones de mala reputación.
- Tráfico de salida de servidores de la DMZ a equipos o servicios ajenos a la operación del servidor.
- Peticiones de resolución de nombres de los servidores de la DMZ a dominios ajenos a la operación del servidor.
- Inicios de conexión, que no se relacionan con su servicio, realizados por servidores Web, File Transfer o de correo electrónico.
- Identifique la totalidad de los ejecutables, incluidos los catalogados como legítimos en sus sistemas, utilizando herramientas como srum-dump o ese-analyst.
- Utilice herramientas de auditoría, como auditd o sysmon0, para reconocer el uso normal de aplicaciones en hosts
- Realice tareas de threat-hunting basado en las tácticas técnicas y procedimientos (TTP) de ciber actores patrocinados por estados. Es posible realizar está búsqueda a partir de las amenazas listadas en el sitio oficial del MITRE ATT&CK, en el listado de grupos, así como las referencias publicadas por CISA, en especial la alerta AA22-047A.
- Configuré alertas en el EDR que permitan identificar actividad relacionada con Living Off the Land, poniendo especial atención en las excepciones, para evitar falsos positivos que pudieran reducir la relevancia de estas. Para esta actividad se puede iniciar con las publicadas en lolbas-project.github.io y github.io.
- Mejore el nivel de detección y visibilidad habilitando las funciones de inspección de tráfico cifrado de sus dispositivos de seguridad perimetrales.
- Integre fuentes de inteligencia de amenazas a sus herramientas de seguridad, que permitan la detección de indicadores relacionados con adversarios state-sponsored.
- Configuré alertas en sus soluciones de seguridad para vigilar accesos desde distintos orígenes con la misma cuenta o desde ubicaciones geográficas lejanas en un tiempo muy corto (viajes imposibles).
Ataques DDoS
- Asegúrese de contar con un servicio de protección anti-DDoS por parte de su proveedor de servicios de Internet.
- Monitoree la latencia de los sitios Web de la organización para asegurarse que está dentro de las métricas definidas por los administradores de sistemas.
- Vigile el tráfico Web de los sitios de la organización (origen, número de peticiones por minuto, direcciones IP sospechosas, ancho de banda, etc.).
- Monitoree el uso de memoria RAM y CPU del servidor donde aloja los sitios Web de la organización.
Defacement
- Monitoree los cambios no autorizados en los sitios Web de su organización, con herramientas automatizadas de detección de cambios en código fuente.
- Implemente prácticas de entrega continua (CD) e integración continua (CI) en el desarrollo y la implementación de los sitios Web de su organización, para tener un mayor control del código liberado en ambientes productivos.
- Implemente control de versiones de los sitios Web de su organización, que le permita identificar cambios no deseados en el código fuente.
Otras amenazas avanzadas y ransomware
- Monitoree los inicios de sesión de la red, para identificar intentos de acceso no autorizados.
- Realice actividades de caza de amenazas en la infraestructura de su organización, que le permitan identificar procesos inusuales, tareas programadas no identificadas, archivos ejecutables sospechosos y uso de recursos inusuales en los EndPoint.
- Realice auditorias de red para identificar tráfico inusual.
- Realice búsqueda de archivos de gran tamaño comprimidos o empaquetados, para identificar información que pueda estar siendo agrupada para ser exfiltrada.
- Revise la actividad de acceso remoto, especialmente con las cuentas de un solo factor de autenticación para investigar anomalías.
Recomendaciones para la investigación
Generales
- Utilice funciones nativas de registro para conocer las aplicaciones que se ejecutan en sus sistemas.
- Manténgase actualizado con la información de las últimas extensiones de archivo que utilizan los atacantes en sitios Web, como “filesec.io”.
- Al recibir alertas relacionadas con indicadores de compromiso asociados con botnet y C2, no solo bloquee el tráfico. Es importante investigar para confirmar si el equipo que originó la alerta está o no comprometido.
- Investigue no solo en las bitácoras de seguridad, contemple también las de auditoría de sistemas y de red/conexión.
- Analice las bitácoras de aplicaciones y servicios en la nube. Por ejemplo, no solo revise los accesos de Directorio Activo, contemple también las de Office365 o Azure.
- Mantenga disponibles bitácoras centralizadas de seguridad y auditoria.
- Esté al tanto de la información publicada sobre el conflicto Rusia-Ucrania, para identificar posibles amenazas o TTP que puedan ser utilizadas por otro tipo de cibercriminales para comprometer las organizaciones.
- Infórmese de la inteligencia de amenazas relacionada con el conflicto Rusia-Ucrania. Por ejemplo, la publicada en sitios https://github.com/curated-intel/Ukraine-Cyber-Operations.
Recomendaciones para la prevención
Generales
- Bloquee cualquier aplicación que no esté en su lista de aplicaciones autorizadas y utilice el principio del mínimo privilegio (PoLP) en aplicaciones, sistemas y dispositivos conectados que requieren privilegios o permisos para realizar una tarea especifica.
- Asegúrese de que su plan de respuesta a incidentes cuente con flujos de trabajo de aislamiento rápidos, a nivel de host y red.
- No exponga interfaces de administración de los dispositivos de red a Internet. La interfaz de administración es una superficie de ataque significativa, por lo que no exponerlas reduce el riesgo.
- Proteja sus dispositivos y redes manteniéndolos actualizados. Use las últimas versiones compatibles y aplique parches de seguridad de inmediato.
- Utilice la autenticación multifactor (MFA) en todos sus sistemas y servicios, para reducir el impacto de contraseñas vulneradas. Los adversarios suelen buscar servicios o alternativas de acceso donde el MFA no esté activo.
- En caso de sospechar haber sido comprometido, contacte a un equipo de respuesta a incidentes para verificar posibles exfiltraciones e impacto en la organización, así como otros elementos de persistencia instalados en la infraestructura.
- Asegúrese de implementar soluciones EDR en la totalidad de los equipos de la organización y que estos se encuentren en modo bloqueo. Una vulnerabilidad común a nivel configuración es no activar este modo en los servidores críticos.
- Implemente procesos y aplicaciones para el control de usuarios privilegiados.
- Configure las reglas de salida de equipos en la DMZ solo para equipos y servicios específicos y necesarios para la operación.
- Mantenga un programa de auditoría de configuraciones, validando que los cambios recientes no incrementen la superficie de ataque o generen nuevas vulnerabilidades.
- Valide continuamente que no cuente con servicios innecesariamente expuestos o vulnerables, ya que estos son uno de los principales puntos de entrada para los atacantes.
- Asegúrese de que su plan de remediación de vulnerabilidades inicia con aquellos equipos expuestos a Internet y aquellos más accesibles dentro de la red interna; por ejemplo, el Directorio Activo y recursos compartidos.
- Realice y almacene respaldos fuera de línea, ejecutando pruebas de acceso y restablecimiento con la información almacenada en ellos.
Ataques DDoS
- Asegure que tiene contratada, con su proveedor de internet, protección contra ataques DDoS.
- Implemente balanceadores de carga para sus sitios o aplicaciones Web.
- Implemente una red de distribución de contenido (CDN) en los sitios Web de la organización.
- Instale herramientas de análisis de comportamiento de red, que puedan detectar sistemas de firmas en tiempo real, para defenderse ante ataques por mal uso de las aplicaciones y ataques en tiempo real.
Defacement
- Mantenga actualizados sus servidores Web y de base de datos.
- Mantenga actualizadas las versiones de los framework o lenguajes de programación utilizados en el desarrollo de sus aplicaciones.
- Utilice metodologías de desarrollo seguro para sus aplicaciones o sitios Web (S-SDLC, Secure Software Development Life Cycle).
- Evite utilizar librerías, paquetes o plugins de terceros que no son de confianza y mantenga un control riguroso de los complementos que utiliza en el desarrollo de sus aplicaciones.
- Utilice certificados TLS en sus sitios o aplicaciones Web.
- Realice respaldos programados del código fuente de sus sitios o aplicaciones Web y bases de datos, y manténgalos fuera de línea.
Otras amenazas avanzadas y ransomware
Recomendaciones generales
- Bloquee a nivel perimetral (firewall, IPS, IDS, filtrado de contenido y filtrado de correo) los indicadores de compromiso, plasmados al final del documento, relacionados con las amenazas descritas en el presente reporte.
- Realice hardening complementario de equipos y servicios expuestos a Internet, implementando elementos como autenticación de factores múltiples (MFA), EndPoint Detection and Response (EDR), Web Application Firewall (WAF), etc.
- Configure un filtro antispam que elimine correos con enlaces maliciosos o con malware adjunto, tanto para el correo externo como el interno.
- Realice campañas de concientización acerca de las técnicas de ingeniería social utilizadas por los cibercriminales para distribuir malware.
- Verifique los permisos de acceso a las carpetas compartidas y la seguridad de las carpetas a nivel del sistema de archivos. Sugerimos emplear el uso compartido con acceso de solo lectura, en caso de no poder usar la carpeta pública de su perfil para compartir archivos.
- Realice y verifique respaldos de equipos críticos, almacenándolos fuera de línea.
- Habilite la auditoria de los sistemas, para dar seguimiento a los eventos de inicio y cierre de sesión en el Directorio Activo.
- Habilite el control de acceso a directorios en su solución de seguridad de EndPoint, para prevenir modificaciones al MBR.
- Realice una correcta y continua gestión de vulnerabilidades, con especial atención en la revisión de sistemas cuyo desarrollo haya sido realizado in house.
- Cuente con un servicio de análisis de vulnerabilidades y análisis de código profesional, así como la implementación de metodologías de desarrollo seguro para sus aplicaciones in house, como, por ejemplo:
- S-SDLC (Secure Software Development Life Cycle).
- CLASP (Comprehensive Lightweight Application Security Process).
- SSDF (Secure Software Development Framework).
- Cuente con EDR de calidad en todos los EndPoint de la organización.
Recomendaciones relacionadas con PowerShell
- Deshabilite el uso de PowerShell en los equipos donde no sea necesario su uso.
- Si es necesario el uso de PowerShell en algunos, equipos realice lo siguiente:
- Actualice a la última versión disponible y elimine las versiones anteriores.
- Configure la ejecución de scripts para permitir solo aquellos firmados y de uso interno para las funciones de la organización.
- Restrinja el uso de PowerShell a administradores y usuarios con necesidades específicas.
- Cambie las contraseñas de todos los equipos involucrados y use doble factor de autenticación en las cuentas de todos los usuarios de Directorio Activo.
- Instale una solución tipo XDR en los equipos que no cuentan con protección sobre EndPoint.
Recomendaciones relacionadas con SMB
- Limite el uso de protocolo SMB en la red, para evitar movimientos laterales por este medio.
- Considere deshabilitar los recursos compartidos administrativos de Windows.
- No reutilice las contraseñas de las cuentas de administrador local en todos los sistemas.
- Utilice contraseñas robustas y que no sean fáciles de adivinar o de descifrar por medio de métodos automatizados.
- Deniegue el uso de acceso remoto de administradores locales para iniciar sesión en los sistemas.
- No permita que las cuentas de usuario de dominio estén en el grupo de administradores locales de varios sistemas.
Prevención de movimientos laterales
- Habilite el acceso controlado a las carpetas, con Windows Defender.
- Desactive Windows Script Host, que es usado para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.
- Concientice a los usuarios de nunca dar clic en el botón de “Habilitar contenido…” en documentos no reconocidos por la organización.
- Deshabilite macros de Microsoft Office en caso de no ser necesario para su operación.
- Utilice GPO para evite que los usuarios ejecuten PowerShell.
- Configure el firewall de Windows en todos los hosts para bloquear técnicas ampliamente utilizadas como el uso de PowerShell u otros LOLBAS (Living Off The Land Binaries and Scripts).
Directorio Activo / Políticas
- No permita o limite el acceso de los administradores de dominio a cualquier otro dispositivo que no sean los controladores de dominio. Si el acceso a algún otro servidor es necesario, no permita que otros administradores accedan al mismo dispositivo.
- Nunca ejecute servicios con cuentas de administrador de dominio.
- Limite el uso de administradores de dominio y otros grupos privilegiados.
- Asegure la cuenta de administrador de dominio.
- Deshabilite la cuenta de administrador local en todas las computadoras.
- Evite, si es posible, incluir usuarios en el grupo de administradores locales y mantenga un monitoreo constante de la gestión de usuarios.
- Habilite la configuración de la política de auditoría con la política de grupo.
- Utilice una estación de trabajo de administración segura (SAW).
- No instale software adicional ni funciones que no sean estrictamente necesarias para la operación, en los controladores de dominio.
- Realice de manera periódica una gestión de parches y escaneo de vulnerabilidades.
- Utilice servicios DNS seguros para bloquear dominios maliciosos.
- Utilice múltiple factor de autenticación para Office 365 y accesos remotos.
- Desarrolle o actualice un plan de recuperación de desastres (DRP) que contemple la participación de todas las áreas que conforman su organización.
- Habilite el firewall de Windows en todos los sistemas.
- Utilice una lista blanca de aplicaciones.
Recomendaciones para la preparación al personal
- Lleve a cabo campañas de concientización, en todos los niveles de la organización, acerca de las técnicas de ingeniería social utilizadas por los cibercriminales para distribuir malware o realizar ataques que puedan comprometer su infraestructura o sus activos de información.
- Capacite constantemente al personal de la organización acerca del uso seguro de Internet y de las mejores prácticas de seguridad de la información.